采用無密碼認證目前面臨著一些挑戰(zhàn)，包括改變帶來的阻力、與舊系統(tǒng)的集成，以及初期的成本，企業(yè)還可能對安全性、用戶體驗、無障礙性、合規(guī)性和數(shù)據(jù)隱私等方面存在擔憂。

為了克服這些挑戰(zhàn)，公司應該投資于教育，逐步整合新的解決方案，關注長期的投資回報率，確保符合行業(yè)標準，并為用戶提供多種認證選項。

FIDO聯(lián)盟最近的一份報告顯示，87%的公司正在部署或計劃部署密鑰以加強安全性和改善用戶體驗。

“無密碼”對不同的人來說意味著不同的東西，那么它實際上是什么樣的?安全領導者需要做些什么來準備呢?

為什么無密碼認證正在興起

據(jù)Yubico稱，盡管有更安全的替代方案可供選擇，但用戶名和密碼組合仍然是最普遍的認證方法，與此同時，借助AI工具的網(wǎng)絡釣魚攻擊變得越來越先進。

攻擊者不僅竊取密碼，他們還劫持會話、繞過多因素認證(MFA)，并利用設備的漏洞。

真正的無密碼認證意味著沒有基于知識的秘密——沒有用戶必須記住的密碼、安全問題或個人識別碼(PIN)，但是，一些被標記為無密碼的系統(tǒng)仍然依賴于密碼作為備用方案。

這在市場上造成了混淆。一些供應商宣傳的無密碼多因素認證(MFA)仍然允許在某些條件下輸入密碼。那并不是真正的無密碼——它只是具有更便捷的第一步的分層安全。

安全領導者應該要求供應商明確說明其實現(xiàn)方式。一個真正的無密碼系統(tǒng)應該：

? 使用公鑰密碼學來驗證用戶身份

? 將憑據(jù)綁定到特定設備或認證器

? 不允許將密碼作為備份，除非受到嚴格限制

FIDO2標準(由FIDO聯(lián)盟和萬維網(wǎng)聯(lián)盟(W3C)制定)是當前的金標準，它支持使用密鑰和生物識別令牌進行認證，而無需中央共享密鑰。

科技巨頭們已經(jīng)在采取行動，蘋果、谷歌和微軟已經(jīng)在設備和瀏覽器中推出了密鑰支持。

Okta高級副總裁兼首席安全官Charlotte Wylie指出：“無密碼策略為減輕密碼疲勞提供了最佳解決方案。當公司采用無密碼策略時，密碼所帶來的挑戰(zhàn)——包括賬戶安全性和用戶體驗差、生產(chǎn)力損失以及成本增加——都將被消除?！?/p>

CISO采用無密碼認證的策略提示

隨著網(wǎng)絡安全領域向更安全、更友好的認證方法轉(zhuǎn)變，CISO必須謹慎地對待這一轉(zhuǎn)變。以下是朝著正確方向邁進的五個提示：

審核你當前的認證堆棧：確定密碼仍在使用的地方：內(nèi)部應用程序、第三方軟件即服務(SaaS)、舊系統(tǒng)。完成后，優(yōu)先處理高風險或高摩擦用例。

從高影響用戶群體開始：為能夠訪問敏感系統(tǒng)的高管、開發(fā)人員和管理員試點無密碼選項。使用像YubiKey或密鑰這樣的強認證器。

利用支持FIDO2的身份提供商：確保你的身份提供商(如Okta、Azure AD、Ping等)支持現(xiàn)代無密碼協(xié)議，并能與你的現(xiàn)有目錄和應用程序集成。

教育和培訓用戶：無密碼認證只有在用戶信任該系統(tǒng)時才有效。解釋其好處，提供自助注冊指南，并為無障礙性或設備問題提供替代方案。

不要放棄備用安全方案：使用抗網(wǎng)絡釣魚的方法(如次要設備認證或身份驗證)建立恢復流程。避免重新引入密碼作為備用方案。

展望未來

一旦企業(yè)采用無密碼認證，跟蹤系統(tǒng)性能就變得至關重要，以衡量其成功與否。對于CISO來說，衡量ROI和對安全性的影響是證明解決方案價值的關鍵，監(jiān)測系統(tǒng)的有效性，并確保其成功降低風險是很重要的。

CISO應該關注關鍵指標，如用戶采用率、阻止的網(wǎng)絡釣魚嘗試次數(shù)以及安全事件的整體減少情況。隨著時間的推移，他們可能會看到成功阻止的網(wǎng)絡釣魚嘗試次數(shù)減少、憑據(jù)盜竊事件減少，甚至與密碼重置相關的IT支持成本降低。

展望未來，無密碼認證將成為各行各業(yè)的常態(tài)。隨著這項技術(shù)的進步，企業(yè)應該盡早采用它，以降低風險、減少IT支持成本，并走在監(jiān)管變化的前面。

AI和機器學習將通過跟蹤用戶行為和發(fā)現(xiàn)異常模式來增強無密碼認證，這些工具有助于在保持登錄過程簡單的同時加強安全性，并根據(jù)潛在風險調(diào)整要求。

Stytch的CTO Julianna Lamb表示：“首先，未來將是無密碼的。雖然許多公司可能還沒有準備好切換到無密碼(出于各種原因，許多公司也確實沒有準備好)，但我相信，在未來十年到二十年里，我們將看到無密碼認證在所有行業(yè)和用例中得到普及，因為它們更加安全和用戶友好。”